Защита данных в терминальной среде

Кроме использования терминальных сред в офисах, уже сегодня значительная часть бизнеса использует схему с дистанционной занятостью, когда работодатель не создает стационарных рабочих мест в каком-либо из регионов своего присутствия, но вступает в трудовые отношения с работником для реализации целей и задач бизнеса – и предоставляет возможность работы из дома через сеансы удаленного рабочего стола.

Корпоративные данные в модели организации работы через терминальные среды независимо от физического размещения терминальных клиентов (в офисе, дома, в других местах) хранятся и обрабатываются строго на стороне корпоративной среды, пользователю же в терминальной сессии предоставляется только результат обработки. Нередко встречается сценарий, когда серверы компании размещаются в облаке, а сотрудники офиса работают с данными из облака через терминальную среду. Часто в облако помещается корпоративный почтовый сервер, а пользователи получают доступ к почте посредством опубликованного приложения (например, Microsoft Outlook в среде Citrix XenApp), запускаемого на внешнем сервере. Другой широко распространенный сценарий, особенно в среднем и малом бизнесе, – это терминальный доступ к бухгалтерским и финансовым системам.

Предоставленная через терминальный доступ виртуальная среда на ее корпоративной стороне сразу содержит элементы защиты среды передачи данных, антивирусную защиту и другие средства ИБ. Другая сторона виртуализации – это личная зона пользователя.

Плюсы и минусы виртуализации

Одним из преимуществ виртуализации является то, что пользователь может получить защищенный доступ к корпоративной среде с помощью любого типа компьютеров и персональных устройств – тонкий клиент, лэптоп, планшет, смартфон. Все, что нужно сотруднику, – это клиент для удаленного доступа по протоколу RDP или ICA, или же в качестве терминального клиента используется любой web-браузер, поддерживающий HTML5.

Недостатком – риски потери контроля за корпоративными данными, попавшими в личную зону пользователя. Сама по себе терминальная среда ограничивает доступ пользователей к данным на серверах, сужая их ровно до той части, которая нужна для выполнения своих задач, но не гарантирует, что эти данные не могут быть применены пользователем, будучи скопированными из терминальной сессии на личное устройство или перенесены на подключенные к нему другие устройства – накопители, принтеры и др. Внесение элементов безопасности и предотвращение утечек данных, переносимых из терминальной среды в личное устройство, непосредственно на персональных устройствах теоретически возможно – однако практически либо нереализуемо вообще (личные устройства всегда остаются личными), либо реализуемо с огромными усилиями как организационного, так и технического характера. Следует учитывать сложность доступа, невозможность автоматизированного централизованного развертывания, отсутствие гарантий предоставления личного устройства службе ИТ, избыточная уязвимость самих решений и т.д.

Безопасность прежде всего

Наконец, при всех плюсах удаленной работы, которые очевидны для сотрудника и бизнеса с точки зрения продуктивности работы, у подразделения, отвечающего за информационную безопасность, возникает резонный вопрос – с чем и как будет работать такой сотрудник вне стен офиса? Насколько ответственно он относится к обеспечению безопасности своих мобильных устройств или домашнего компьютера? Как обеспечить безопасность и сохранность данных, с которыми он работает в силу своих бизнес-задач?

Как следствие, службе ИБ после создания стерильной среды пользователя, доступной через терминальные сессии, стоит позаботиться о внедрении средств контроля передачи данных из терминальной сессии на устройство пользователя непосредственно в виртуальную среду. Что-то можно реализовать средствами самого терминального сервера, что-то – за счет сторонних решений класса Data Leak Prevention (DLP), поддерживающих контроль устройств, перенаправляемых в терминальную сессию, наравне с контролем сетевых коммуникаций, доступных на корпоративной стороне.

Основная задача, которую должна решать такая DLP-система в отношении виртуальных и терминальных сред, – это контроль переноса корпоративных данных на удаленные компьютеры и мобильные устройства из терминальных и виртуальных сред. DLP-политики для терминальных сред призваны обеспечить контроль потока данных между виртуальным рабочим столом или опубликованным приложением и перенаправленными с удаленных рабочих компьютеров периферийными устройствами, включая съемные накопители, принтеры, USB-порты и буфер обмена данными, а также каналы сетевых коммуникаций. Кроме того, необходимо обеспечить централизованное журналирование действий пользователя, теневое копирование переданных им файлов и данных, тревожные оповещения в случае выявления инцидентов безопасности.

Как это работает на практике

Рассмотрим общий сценарий – сотруднику, работающему на тонком клиенте, предоставляется терминальный доступ к корпоративной рабочей среде, организованной в виде опубликованного бизнес-приложения. В целях повышения производительности и эффективности работы пользователя на его компьютере локально подключаемые периферийные устройства и буфер обмена перенаправляются в терминальную сессию. В частности, это объясняется необходимостью печати доступных через терминальную сессию документов на локально подключенном принтере, а также иметь возможность копировать и вставлять данные через буфер обмена из/в бизнес-приложение, с которым пользователь работает в терминальной сессии.

В качестве частного сценария можно назвать случай, когда специалисту финансового отдела разрешено использование флеш-накопителей для сохранения конфиденциальной финансовой информации при работе в офисе (с рабочего компьютера), но не допускается запись на накопители таких документов, полученных через сеансы удаленного рабочего стола, при работе с ноутбука в командировках или дома. Запись на накопитель прочих документов должна протоколироваться с созданием теневой копии в целях последующего анализа и контроля.

При этом предполагается, что содержимое документа (или данных), передаваемых через перенаправленные устройства или буфер обмена данными вовне терминальной сессии, полностью соответствует корпоративной политике безопасности и не содержит недопустимых для утечки данных (т.е. нарушающих корпоративную политику безопасности или иные регулирующие правительственные и отраслевые нормы). Это означает, что, помимо контроля доступа к перенаправленным в терминальную среду устройствам, необходимо также анализировать содержание файлов, чтобы предотвратить утечку именно конфиденциальной информации – не блокируя при этом передачу данных, к такой категории не относящихся.

В условиях перенаправления локальных периферийных устройств и буфера обмена с удаленного терминала на терминальный сервер DLP-решение, функционируя на виртуальной машине или терминальном сервере, доступ к которым пользователь получает через терминальную сессию, должно перехватывать их и в режиме реального времени осуществлять проверку допустимости использования перенаправленных локальных устройств и специфических операций с данными, а также проверяет содержимое (контент) передаваемых данных, т.е. производит контентный анализ данных на предмет их соответствия DLP-политикам, заданным для этого пользователя при использовании терминальных сессий. В случае выявления нарушения заданных DLP-политик операция передачи данных прерывается, при этом создаются соответствующая запись в журнале событийного протоколирования и теневая копия данных, которые пользователь пытался передать через контролируемые устройства в терминальной сессии, а также создается тревожное оповещение для обработки в рамках процедуры менеджмента инцидентов ИБ.

Таким образом, при наличии заданных DLP-политик, определяющих допустимость использования корпоративных данных, DLP-система должна гарантировать, что передача данных ограниченного доступа пользователем находится строго внутри границ виртуальной среды (терминальной сессии), и данные, утечка которых недопустима, не попадают на личную часть персонального устройства (от тонкого клиента или домашнего компьютера до мобильного устройства любого типа), оставаясь при этом доступными для эффективного выполнения бизнес-задач.

Вывод

Благодаря использованию DLP-решения, обладающего полноценным функционалом контроля потоков данных между терминальным сервером и удаленным терминалом, обеспечивается полный контроль разнообразных вариантов использования персональных мобильных устройств в различных моделях использования решений виртуализации (BYOD, Home Office, облачные корпоративные серверы), построенных на платформах виртуализации и терминального доступа от Microsoft, Citrix, VMware и других производителей, – компании при необходимости могут полностью контролировать корпоративные среды, переданные на персональные устройства сотрудников. Кроме того, службы ИБ могут отслеживать, проверять и отфильтровывать содержимое обмена данными между защищенной рабочей средой и персональным устройством, а также подключенными к нему периферийными устройствами и буфером обмена – что особенно важно, учитывая, что все эти каналы передачи данных вне корпоративных границ становятся небезопасными и должны рассматриваться как угроза корпоративной информационной безопасности.

При этом немаловажно, что организации не приходится тратить время и силы на управление и контроль персональных устройств, благодаря чему сценарий предоставления терминального доступа к корпоративным ресурсам, защищенного с помощью DLP-технологий, может стать очень популярным.